NRI Secure SANS NewsBites 日本版

Vol.12 No.07 2017年3月7日発行

■■SANS NewsBites Vol.19 No.017,018
(原版: 2017年2月28日、3月3日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
◆情報セキュリティ人材育成セミナー
 『実践的スキルを有する実務人材を養成するために』
  日時:2017年3月24日(金) 18:00~19:30 (受付開始:17:30)
  会場:大手町サンケイプラザ3F ルーム311, 312

インターネットを悪用した、特定組織を対象とした標的型攻撃は、どんどん手口
を巧妙化・多様化させ、増加し続けています。身近に迫りくる情報セキュリティ
脅威に対しては、その脅威の変化に応じた組織的対応が重要となってきています。

本セミナーでは、組織が限られた時間、資金、リソースを最適にセキュリティ対
策に費やせるよう、必要なセキュリティ業務の洗い出しや、それらを担当する人
材のキャリア形成手法を考察します。

 ▼詳細は こちらから▼
 https://www.nri-secure.co.jp/seminar/2017/0324.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.1 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 米国送電網の耐性に関するGAOのレポート (2017.2.27)
米会計検査院(GAO)のレポートによると、エネルギー省(DOE)、国土安全保障省(DHS)及び連邦エネルギー規制委員会(FERC) は、2013年から共同で送電網に関連した27件ものプログラムに関わっていたという。 これらのプロジェクトは、サイバーセキュリティ、物理セキュリティ及び自然災害が考慮されている。GAOによると、プロジェクトの重複はあったが、コストの重複は無かったとしている。

https://www.cyberscoop.com/electrical-grid-cybersecurity-doe-dhs-gao-report/
http://www.gao.gov/products/GAO-17-153

【編集者メモ】(Murray)
インフラストラクチャーの耐性を適切に示す指標 (例:大規模な事故から90%のサービスレベルへの復旧までにかかった平均時間など)が必要である。ウィリアム・トムソン(ケルヴィン卿) は、計測できなければ、存在も確認することはできないと教えを説いた。 また、ウィリアム・エドワーズ・デミングは、計測できなければ、改善することはできないと教えを説いている。

◆ ISPに対し海賊版コンテンツのフィルタリングを求めるデジタル著作権保持者(2017.2.26)
全米レコード協会(RIAA) やその他のデジタル著作権団体が、米国会議員に対し、インターネットサービスプロバイダ(ISP)に海賊版コンテンツのフィルタリングを行わせるよう求めている。現在のデジタル・ミレニアム著作権法(DMCA) は、特定された海賊版コンテンツを「迅速」に削除すれば良いという免責条項をISPに対し与えているが、これらの団体は、現在の DMCAに基づく通知や削除のプロセスは「重荷」であり、最終的には効果はあまり無いとしている。

https://arstechnica.com/tech-policy/2017/02/forget-dmca-takedowns-riaa-wants-isps-to-filter-for-pirated-content/
http://news.softpedia.com/news/riaa-other-copyright-holders-want-isps-to-introduce-piracy-filters-513328.shtml

【編集者メモ】(Pescatore)
先週、Google と Bing は、それぞれの検索エンジン内で発見された英国内での海賊版コンテンツへのリンクをフィルタリングすることに合意している。 これは、良い事である。ISPにおいて、既知の海賊版コンテンツを米国でもフィルタリングすることは良い事であり、 既知のマルウエアや他の攻撃をフィルタリングすることに繋がれば良い事である。インターネット接続で通信されるビットの6割以上が不正または悪意あるコンテンツだが、ISPはこれらへの対策を今まで避けてきたことになる。
【編集者メモ】(Murray)
著作者は、 自分たちの誤った価格を維持するために、他者に対しコストを強いるのは良くない。 複製コストが下がれば、価格を下げて利益を増やすことになるにも関わらず、だ。
【編集者メモ】(Williams)
私は、著作者が DMCAの両サイドにいると思っているが、DMCAは悪い法律であるだけでなく、この要求によりさらに悪化するだろう。この要求を満たすために、ISPは全てのインターネット通信を監視して、 海賊版コンテンツであるかを検証しなければならなくなるからだ。これは、プライバシーの観点から災難である。ISPによる通信の復号を行って、海賊版コンテンツを発掘することになった場合は特に、である。
善意ある法律(著作者の保護) は、特にプライバシーに関して、良くない副作用が発生してしまうものだ。

◆ SHA-1コリジョン攻撃によるコードリポジトリへの影響 (2017.2.26,27)
先週公表された SHA-1 に対するコリジョン攻撃は、リビジョンコントロールシステムで Subversion(SVN) を使用している場合、コードリポジトリを破壊することに使用される恐れがあるという。WebKit ブラウザエンジンのリポジトリは、Googleとオランダの研究者による発表のわずか数時間後に破壊されている。Git(および Linux)の創始者である Linus Torvalds氏は、これらの攻撃に関して楽観的な姿勢を取っており、簡単なチェックをいくつか実装するだけで攻撃は防げるという。

http://computerworld.com/article/3174679/security/sha-1-collision-can-break-svn-code-repositories.html
http://www.zdnet.com/article/linus-torvalds-on-sha-1-and-git-the-sky-isnt-falling/
http://www.theregister.co.uk/2017/02/26/git_fscked_by_sha1_collision_not_so_fast_says_linus_torvalds/

【編集者メモ】(Murray)
このデモは、セキュリティをやっている人たちに対し、SHA-1の強みと限界を知らしめている。 無効化されるたり利用不可能になるとは誰も言っていない。この攻撃を行うためのコストが急に下がる可能性はあるが、対策を立てる時間もたくさんある。
【編集者メモ】(Honan)
Linus Torvalds 氏が、この問題に関して「世の中の終わりではない」と言っていることに同意している。 ランサムウエアやフィッシングに対する基本的な対策もできていないので、SHA-1コリジョン攻撃のような高度な攻撃よりも、基本的なことに注力すべきである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「モバイルアプリを安全に使用するには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどのモバイルデバイスが万能な理由は、利用可能
なアプリが無数に存在するからです。このアプリによって、あなたのモバイルデ
バイスは、勉強用のツールにもなれば、ゲームを楽しむ端末にも変わります。こ
のように様々な可能性を秘めたモバイルアプリですが、不用意に使用するとあな
たの個人情報や大事なデータを盗み取られてしまう可能性があります。今月は、
モバイルアプリを安全に使用する方法について一般ユーザ向けに分かりやすく解
説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201703_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Yahooの主任弁護士が辞任。CEOはボーナス支給されず (2017.3.1)
Yahoo の取締役会は、大量のデータ漏えいに関する捜査を受けて、同社 CEO であるMarissa Mayer氏に対する 2016年のボーナスと 2017年のストック・オプションを付与しないことを発表した。また、主任弁護士の Ronald Bell 氏の辞任も発表した。
Yahoo の取締役会は、「コミュニケーション、マネジメント、調査及び内部通報の失敗が、2014 年のセキュリティインシデントの適切な理解とハンドリングの欠如に繋がった」としている。

https://www.wsj.com/articles/yahoo-finds-failures-by-senior-executives-in-data-breach-response-1488408925
https://www.nytimes.com/2017/03/01/technology/yahoo-hack-lawyer-resigns-ceo-bonus.html?_r=0
http://computerworld.com/article/3176486/security/yahoo-execs-botched-its-response-to-2014-breach-investigation-finds.html

【編集者メモ】(Honan)
やっとである。世の中のCEOに対するメッセージとしては、サイバーセキュリティにも気を使うべきである。
【編集者メモ】(Paller)
そして、情報漏えいを葉遣いでごまかすことを推奨している弁護士に対し、 メッセージともなっている。

◆ 米陸軍が「最も現実的な」サイバーセキュリティトレーニング環境を実現 (2017.3.2)
軍がサイバー防衛チーム (CPT) のスキルと信頼構築に必要な技術を完璧にするため、米陸軍は非常に重要な取り組みを完成させた: CPT メンバー全員が、サイバー攻撃と防御のスキルを試験、計測、向上させ、 チームの信頼醸成につながる現実的なシミュレータを開発した。インディアナ州の Butlerville という小都市において、各チームは Cybertropolis と呼ばれる監獄のシステムに侵入した攻撃者たちとインタラクティブな攻防戦を繰り広げた。 具体的には、アンチウイルスの回避、ネットワーク列挙 (ネットワーク上のユーザ名を取得)、ランサムウエア、クライアントに対する攻撃、他のコンピュータへの移動、 ネットワークサービスに対する攻撃、権限昇格、ICS に対する攻撃および Windows ドメインに対する攻撃を検知し、対策を求められるというもの。チームリーダーであるジョー・マーティ少佐によると「Cybertropolis は、我々のチームに対し、 これまでで一番現実的なトレーニング環境を提供してくれた。他の CPT もぜひ体験して欲しい」と述べている。
[編集者注釈:Ed Skoudis (ed@counterhack.com、NewsBites 編集者であり Counter Hack Challengeの主査) と Eric Bassel(ebassel@sans.org、SANS) に拍手を送りたい。 彼らは、米陸軍に対し、この重要なプロジェクトに関して精力的なサポートを 行っていた]

https://www.army.mil/article/183500/154th_cyber_protection_team_engaged_in_network_defense_at_cybertropolis_indiana

【編集者メモ】(Paller)
リンクされている記事は、 米陸軍の機密扱いされていないウェブサイトに掲載されており、シミュレーションがどのように機能し、どのように CPT 開発に役立つか記載されているので、参考になるだろう。
https://www.army.mil

◆ FCCにさらに強いデータセキュリティ対策を要求する法案 (2017.3.2)
米下院のエネルギーおよび商業対策委員会の民主党員は、米連邦通信委員会 (FCC)にサイバーセキュリティに対して強い立場を持たせる 3つの法案を提出した。 これらの法案により、FCCは、通信用のネットワークを保護するための規則を採択することを求める; サイバーセキュリティ調査を行うための複数省庁から成り立つパネルの設置; IoT機器のサイバーセキュリティ標準を満たすことを必須とする。

http://thehill.com/policy/technology/322009-house-dems-push-fcc-to-adopt-stronger-cybersecurity-measures

【編集者メモ】(Pescatore)
次の記事に記載されているが、FCCが ISPに対し、セキュリティをより強化するよう求めることは無いだろう。 通信事業者によって、顧客のセキュリティを向上させ、今後の立法行為を防いでくれることを願っている。

◆ FCCが一時的にデータセキュリティに関するルールを却下 (2017.3.1,2)
米連邦通信委員会 (FCC) は、インターネットサービスプロバイダ(ISP) に対し、顧客の個人情報を守るために 「妥当な」アクションを取ることを要求するデータセキュリティのルールを、反対多数で却下した。 FCC 委員長のアジット・パイ氏と連邦取引委員会(FTC) 代理委員長のモーリン・オーラセン氏は、FCCではなく、FTC がオンライン上のデータプライバシーとセキュリティに関する規制を実施すべき。 との声明を共同で出している。

https://www.cnet.com/news/fcc-puts-data-security-protections-on-hold-privacy/
https://arstechnica.com/tech-policy/2017/03/isps-cheer-pause-of-rule-that-guards-private-data-from-security-breaches/
http://computerworld.com/article/3175103/internet/fcc-halts-data-security-rules.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月15日(水)
 重要文書はこう管理する! 文書管理で失敗しない3つのポイント
 http://www.nri-secure.co.jp/seminar/2017/doc01.html?xmid=300&xlinkid=04

○3月9日(木)、4月12日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=07

○3月10日(金)、4月13日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
 http://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・米国でのセキュリティサービスに機械学習技術を導入
 https://www.nri-secure.co.jp/whats_new/2017/0214.html?xmid=300&xlinkid=11

・クラウド型外部委託先リスクマネジメントツール「Supplier Risk MT」の販売を開始
 https://www.nri-secure.co.jp/whats_new/2017/0208.html?xmid=300&xlinkid=12

・標的型サイバー攻撃対策「Deep Discovery Inspector管理サービス」の販売を開始
 https://www.nri-secure.co.jp/whats_new/2017/0206.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所著「ITロードマップ プレビュー2017」(非売品)を進呈
 https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃新コーナー「Insights」          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方にも、情報セキュリティに関するトピックや解説、コラムなど様々な
 情報を紹介していきます。
 第一回は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能構築
 の必要性~」です。
 https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。